Home » Blogs » AVG: het recht op dataportabiliteit
Meer informatie

AVG: het recht op dataportabiliteit

Blog
24 oktober
2019
Geschreven door
Martijn Smit
Verwachte leestijd
5 minuten
Meer Blogs van Martijn

Schenkeveld Advocaten - dataportabiliteit

In een reeks blogs vertel ik u meer over de rechten van betrokkenen onder de AVG. In dit blog vertel ik u meer over het recht op overdraagbaarheid van gegevens. Dit wordt ook wel het recht op dataportabiliteit genoemd. Wat houdt dit recht precies in?

Het recht op dataportabiliteit

Het recht op overdraagbaarheid van gegevens of dataportabiliteit is het recht van een betrokkene om de persoonsgegevens die uw organisatie als ‘verwerkingsverantwoordelijke’ van hem of haar verwerkt te verkrijgen, zodat deze gegevens kunnen worden overgedragen aan een andere verwerkingsverantwoordelijke, zoals een nieuwe dienstverlener of leverancier. Dit recht wordt geregeld in artikel 20 van de Algemene Verordening Gegevensbescherming (AVG).

Het recht op dataportabiliteit is een nieuw recht dat onder de oude regels van de Wet bescherming persoonsgegevens (Wbp) nog niet bestond. Het doel van dit recht is om de positie van betrokkenen te versterken en hen meer controle te geven over hun gegevens.

Wanneer heeft een betrokkene recht op dataportabiliteit?

Het recht op dataportabiliteit bestaat alleen als:

  • de gegevensverwerking berust op toestemming of op een overeenkomst én
  • de verwerking geautomatiseerd is.

In alle andere gevallen kan een betrokkene wel om gegevensoverdracht verzoeken, maar hoeft u niet op het verzoek in te gaan.

Het recht op dataportabiliteit: uw verplichtingen

Zoals ik in mijn eerdere blogs al aangaf, moet u betrokkenen in staat stellen contact met u op te nemen over de inzage in en het verwijderen, wijzigen of overdragen van hun persoonsgegevens. Bijvoorbeeld door de contactgegevens van de Functionaris Gegevensbescherming (FG) op de website op te nemen. Let op: niet elke organisatie is verplicht om een FG aan te stellen. Heeft u geen FG? Dan kunt u voor dit doel een contactformulier op de website opnemen of een e-mailadres opnemen in uw privacyverklaring.

U bent verplicht om binnen een maand aan een verzoek tot gegevensoverdracht mee te werken. Is het verzoek ingewikkeld? Dan mag u er 3 maanden over doen. In dat geval moet u de betrokkene wel binnen één maand laten weten dat en waarom het langer gaat duren.

Artikel 20 AVG bepaalt dat u de verwerkte persoonsgegevens in ‘een gestructureerde, gangbare en machineleesbare vorm’ moet verstrekken. Dat betekent dat de gegevens eenvoudig toegankelijk moeten zijn en makkelijk hergebruikt moeten kunnen worden. In welke vorm dat precies is, zal per sector verschillen.

Op grond van artikel 20 lid 2 AVG heeft een betrokkene ook het recht om, als dat technisch mogelijk is, de persoonsgegevens van de ene verwerkingsverantwoordelijke naar de andere te laten doorzenden. Dat betekent dat uw organisatie ook aan deze vraag moet kunnen voldoen.

Kunt u écht niet aan het verzoek voldoen? Dan moet u de reden(en) daarvoor aan de betrokkene meedelen. Hierbij moet u de betrokkene wijzen op de mogelijkheid om hierover een klacht bij uzelf of de Autoriteit Persoonsgegevens in te dienen.

Net als bij andere rechten mag u in principe geen kosten in rekening brengen voor het overdragen van persoonsgegevens. Dient een betrokkene heel frequent verzoeken in? Dan mag het wel.

Het recht op dataportabiliteit: welke gegevens moet u overdragen?

Zoals gezegd bent u verplicht om aan een verzoek tot dataportabiliteit mee te werken. Maar  dit betekent niet dat u alle gegevens moet verstrekken. Het gaat alleen om digitale gegevens van de betrokkene die met zijn of haar toestemming zijn verwerkt of die nodig waren om een overeenkomst uit te voeren.

Daarnaast gaat het alleen om de persoonsgegevens die de betrokkene zelf heeft verstrekt. Het gaat daarbij niet alleen om directe gegevens: gegevens die de betrokkene actief heeft verstrekt, zoals contactgegevens of de gegevens uit een online formulier. Het gaat ook om gegevens die de betrokkene indirect heeft verstrekt, zoals locatiegegevens, IP-adressen, tijdstippen van verzending en andere metadata.

Andere gegevens die uw organisatie zelf aan het digitaal dossier heeft toegevoegd, zoals een conclusie, diagnose, behandelplan, profiel of een data-analyse, hoeft u niet over te dragen. De betrokkene heeft ten aanzien van deze gegevens wel recht op inzage.

Let op: het kan voorkomen dat u bij de verwerking van de persoonsgegevens van een betrokkene ook persoonsgegevens van een derde persoon verwerkt. Op het moment dat u deze gegevens mee overdraagt, is er een kans dat de betrokkene deze gegevens doorstuurt naar een andere organisatie. Het verdient aanbeveling hier alert op te zijn en – zo nodig – gelaagde overdrachtsmogelijkheden te aan te bieden. Ook kunt u ervoor kiezen om de persoonsgegevens van de derde persoon weg te laten dan wel zwart te lakken.

Vragen?

In mijn volgende blog vertel ik u meer over het recht van bezwaar. Heeft u vragen over het recht op dataportabiliteit? Hulp nodig bij het opstellen van uw privacystatement, of advies nodig in een concrete zaak waarin een betrokkene een beroep doet op het recht op dataportabiliteit? Neem dan gerust contact op met een van onze advocaten privacyrecht.

Dit blog is onderdeel van een reeks:

Hoe ver gaat het recht op inzage onder de AVG?
AVG: hoe ver gaat het recht om vergeten te worden?
AVG: het recht op rectificatie
AVG en het recht van bezwaar
AVG: wat is het recht op beperking van de verwerking
Geautomatiseerde besluitvorming en profilering. Wat zijn de rechten van betrokkenen onder de AVG?

Gerelateerde Blogs

Antenne-installatie tóch vergunningplichtig: gemeente gehouden tot handhaving?
Belediging op sociale media: wanneer onrechtmatig?
Zonder ingebrekestelling schade vergoeden?
Is een huurverhogingsbeding oneerlijk?
Wet open overheid (Woo) voor het eerst toegepast